© JUNGE FREIHEIT Verlag GmbH & Co. KG www.jungefreiheit.de 26/20 / 19. Juni 2020

Gehackt wie gesprungen
Digitale Sicherheit: Zwei Gesetzesvorhaben der Koalition sollen die staatlichen Kompetenzen im Netz ausweiten / Staatstrojaner kehrt zurück
Björn Harms

Rund ein Jahr lang tobte in der Großen Koalition ein heftiger Streit über neue gesetzliche Befugnisse der staatlichen Behörden bei der Online-Überwachung. Nun haben Union und SPD ein erstes Ergebnis vorgestellt. Noch im Juli soll der endgültige Gesetzesentwurf stehen. „Wir haben uns in der Union entschieden, das neue Verfassungsschutzgesetz ins Kabinett einzubringen, mit der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), aber ohne Online-Durchsuchung“, sagte Bundesinnenminister Horst Seehofer (CSU) in der vergangenen Woche den Zeitungen der Funke-Mediengruppe. 

Die Online-Überwachung, mit der Behörden direkt auf Computer und Festplatten zugreifen könnten, hatte die SPD strikt abgelehnt. Doch ist der Unterschied zur Quellen-TKÜ tatsächlich so groß? Mit ihr kann man künftig eine laufende, verschlüsselte Kommunikation etwa über Whatsapp, Telegram oder Skype aushorchen, indem man per Trojaner-Software direkt an der Quelle abgreift, also am Handy oder Computer – und das bevor die Telefonate oder Nachrichten verschlüsselt beziehungsweise nachdem sie entschlüsselt werden. 

Was bedeutet: Nicht nur das Bundesamt für Verfassungsschutz, sondern auch alle Landesämter sowie der Bundesnachrichtendienst dürfen künftig den Staatstrojaner einsetzen. Aus technischer Sicht sehe er zur reinen Online-Überwachung „keinen Unterschied“, warnt Markus Beckedahl, Chefredakteur des Blogs netzpolitik.org, vor den Konsequenzen. Kein Richter könne im Anschluß prüfen, „wie der Trojanereinsatz wirklich lief“, kein Strafverteidiger überprüfen, „ob hier eine rechtsstaatliche Grenze überschritten wurde“. Der BND soll Berichten zufolge zudem „technische Mittel“ gegen deutsche Staatsangehörige oder „sich im Bundesgebiet aufhaltende Personen“ nutzen können und Daten von deren IT-Systemen erheben, auswerten und an Dritte inklusive ausländische Stellen übermitteln dürfen.

Firmen müssen Störungen an Bundesbehörde melden

Auch beim sogenannten „IT-Sicherheitsgesetz 2.0“ herrschte lange Zeit Unklarheit. Nun hat das Bundesinnenministerium Anfang Mai einen neuen Referentenentwurf vorgestellt, der das Gesetzgebungsverfahren vorantreiben soll. Das Papier befindet sich derzeit in der Abstimmung zwischen den Ministerien und soll möglichst bald in den Bundestag eingebracht werden. Ziel ist es zum einen die „Sicherheit informationstechnischer Systeme“ zu erhöhen. Gleichzeitig müsse der Schutz von Kritischer Infrastruktur (Kritis) sichergestellt werden, also Bereichen, die im Notfall zwingend für die Versorgung der Bevölkerung nötig sind.

Laut dem Entwurf erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun deutlich mehr Befugnisse und wird zu einer zentralen Behörde im Innenministerium ausgebaut. Knapp 600 neue Stellen sind eingeplant. Demnach soll es dem BSI gestattet werden, das Internet nach unsicheren Geräten zu durchsuchen, beispielsweise mit sogennanten Portscans. Diese zeigen „offene Türen“, das heißt Schwachstellen der jeweiligen im Internet erreichbaren Dienste an. Die Befugnis ist weit gefaßt und reicht vom Fitneß-Tracker im Haushalt bis hin zur großen Industrieanlage. Aber auch das Ausprobieren von Standard-Paßwörtern wie „0000“ oder „admin“ wäre möglich. Das ist eigentlich eine Hacking-Straftat.

Diese aktive Suche nach Schwachstellen diene der Unterrichtung der jeweiligen Betreiber, heißt es im Entwurf. Der Verweis im neuen Paragraph 7b auf die Weitergabe von Daten an Strafverfolgungsbehörden und Nachrichtendienste legt anderes nahe. Tritt zudem eine „erhebliche Störung“ der IT einer Kritischen Infrastruktur ein, kann das BSI Anweisungen erteilen, wie das angegriffene Unternehmen zu reagieren hat – wenn das Unternehmen aus Sicht des BSI nicht oder nicht ausreichend handelt. Weiterhin müssen bestimmte Kritis-Unternehmen dem BSI in den nächsten zwei Jahren umfassende IT-Sicherheitskonzepte vorlegen – die später dann alle zwei Jahre erneuert werden sollen. Bei Störungen oder Unregelmäßigkeiten herrscht Meldepflicht gegenüber dem BSI.